セキュリティの問題で...

いろいろと話題になっている USB メモリを紛失した問題…

USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露　ネット騒然　「悪例として最高の手本」

尼崎市のUSBメモリ、スマホのGPS辿り発見　「漏えいしていない保証はない」とBIPROGY

とりあえず、紛失していた USB メモリが見つかったそうなので、一安心と言うところなんだろうけど、この問題に関する報道で

• パスワードの桁数を公表するのは、パスワード解析の手がかりになる

• 未だに USB メモリを使っているのか

といった問題が提起されている。

パスワードの桁数

パスワードを解析しようとすると、登録されている単語を優先するような手法も存在していますが、マシンパワー任せに使用する文字種と桁数を考慮して総当りで試行するの手法の方が多いように思います。

パスワードを忘れた人のイラスト

「使用する文字種」と「パスワードの桁数」がわかると、より解析しやすくなるのは事実です。下記のページで、「使用する文字種」と「パスワードの桁数」が変化したときに、試さなければならないパスワードの組み合わせ数が表になっていました。

安全なパスワードの作り方、総当たり攻撃、文字の種類と文字数（桁数）

上記のページを参考に、今回の自治体のパスワードと考えられる組み合わせを計算すると、200,028,539,268,670,000,000,000（※Excel の有効数字の制限によって、下10桁は 0 となっていますが、実際は異なる）という膨大な組み合わせを試さなければなりません。

想定されるパスワードの組み合わせ数

以下の動画で紹介されているように、単純にパスワードの組み合わせを確認するだけであれば、パソコンが高性能化していることもあって、既にパスワード解析のプログラムが完成しているところからだと 4分余りで一致するパスワードを見つけていた。
なお、動画中では、6桁のパスワードの組み合わせ数である 56,800,235,584 の何番目で見つけられたのか、といった点には言及されていないので、組み合わせのパターンの初めの方なのか、終わりの方なのかでも、解析時間は変化すると思います。

桁数がわかっていると…

ここでパスワードの桁数がわかっていた場合、その桁数の組み合わせだけを調べればよいのですが、桁数がわからなければ低い桁数からの組み合わせから順に試さなければならなくなります。
↑ の動画の例であれば、

• 6桁であることがわかっていれば 56,800,235,584

• 6桁であることがわかっていなければ、
  5桁までの 931,151,402 を失敗してから 56,800,235,584

という感じになります。

動画中でも触れられていますが、現状のパソコンの性能を考えると、6桁のパスワードは容易に破られてしまう組み合わせ数なのかもしれません。
桁数が増えるごとに、指数的に組み合わせ数が増えていくので、それなりの桁数でパスワードを設定しておくことが大切だとわかります。

個人情報を漏洩させた人のイラスト

よく、「万が一の場合に」と言われますが、6桁のパスワードを設定してある場合でも、56,800,235,584（568億通り）分の一なので、「500億が一の場合に」という感じになります。
まぁ、そのような危険に晒されたということが問題なのでしょうから、実際に漏洩する確率が問題なのではないのでしょうが…

桁数を増やすことのデメリット

しかしながら、安易にパスワードの桁数を増やすことは、必ずしもセキュリティ強度を上げるわけではなく、逆に下げてしまうかもしれません。
というのも、設定されているパスワードを利用者が覚えられないからです。

• 利用者が容易に覚えられないパスワードを設定することで、パスワードが印刷された文書を一緒に携行する

• 覚えやすい単語の組み合わせでパスワードが設定される

といった運用が行われると、実際に設定されているセキュリティ強度よりも低くなってしまうかもしれません。
今回の自治体の場合、USB メモリだけでなく書類なども入った鞄（かばん）ごと紛失しているので、前者によってパスワードが解析されてしまうリスクが考えられます。

USB メモリ側の対応

前述の記事の中に

総当り攻撃はコンピュータの性能が良いほど速く試行でき、コンピュータの進化により総当りに要する時間は短縮されつつある。 総当り攻撃にどのくらい時間がかかるか実験している人もいる。 ただ、サーバに対して何億何兆という総当り攻撃を行った場合、きちんと管理されているサーバであればそれに気づいて対処するだろう。

https://memorva.jp/internet/security/password_brute_force_attack.php

と書かれている。サーバー側の監視が適切に行われていれば、総当り攻撃のような行為が継続的に行われていると、相応の対応がとられることになるだろうから、理論通りにログインの試行がくり返せるわけではありません。

ロックされたUSBメモリのイラスト

USB メモリはローカルで処理するものなので、上記のような監視が行われることはありませんが、

EU3-PWシリーズ | セキュリティUSBメモリー | IODATA アイ・オー・データ機器

※ 不正アクセス防止のため、100回連続ミスすると初期化が必要になります。
※ 初期化しますと本商品に保存したデータは全て削除されます。

https://www.iodata.jp/product/usbmemory/standard/eu3-pw/

RUF3-HSL4G : 法人向けセキュリティーUSBメモリー | バッファロー

パスワードを忘れた場合や、パスワード入力に10回失敗した場合は、初期化が必要となります。

https://www.buffalo.jp/product/detail/ruf3-hsl4g.html

といった対応がとられており、制限なくパスワードの入力を試行できないようになっています。　※こういった USB メモリ側の対応が、すべての製品で取られているわけではないかもしれません。

もしかすると…　自治体側が「使用する文字種」と「パスワードの桁数」を誤って漏らしたように見せかけて、これらの機能によって USB メモリに保存されているデータが消去されることを狙った、誤った情報の開示だった可能性もあるかもしれません。　※事実は、当事者しかわかりませんが…

適切な対応とは？

こういった不祥事とも言える事象が発生すると、セキュリティをより強固にすることばかりが叫ばれたりしないでしょうか？

• 前述のように、パスワードの桁数を増やし、ランダムな文字列を強要することで、パスワードが覚えられなくなり、パスワードを記録した紙を携行しなければならなくなってしまう。

• セキュリティポリシーを記述した文書には、「パスワードの設定ルールなどが記載されている」といった理由から秘匿文書扱いとなり、一般の職員の目に触れない。結果、すべての職員がルールを把握できていない環境になる… 

桶の理論のイラスト

といった状況にならないよう、ただ厳しくするだけでなく、運用可能なセキュリティ対策にするとか、セキュリティ対策についての教育も行って欲しいものです。